olly - Fotolia

Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Cómo y por qué conducir un análisis de riesgo y de ciberamenazas

Las ideas de un hacker ético sobre cómo y por qué las organizaciones deberían llevar a cabo un análisis de riesgo y de ciberamenazas basado en nueve años de experiencia realizando pruebas de penetración para cientos de organizaciones.

Los ataques cibernéticos ya no son eventos únicos, sino una campaña sostenida de atacantes cada vez más sofisticados que utilizan una combinación de ingeniería social y habilidades técnicas para penetrar en su red y obtener acceso a sus activos más importantes. Este aumento en la complejidad y el nivel de habilidad del adversario significa que no hay una solución única para prevenir los ciberataques.

El gasto de seguridad tradicional se centra en la introducción de otro producto protector o de detective, pero esto ya no es efectivo de forma aislada. Es necesario que haya una estrategia general de ciberseguridad centrada en la resiliencia cibernética e impulsada por un enfoque basado en amenazas que se centre en los activos clave de la organización, y en las motivaciones y capacidades de los atacantes más probables.

Los presupuestos de seguridad son limitados, y este enfoque le permite enfocar estos recursos limitados de manera más efectiva para proteger los activos que con mayor probabilidad serán un objetivo.

Con el fin de establecer una línea de base para una estrategia cibernética dirigida hacia amenazas, es útil realizar un ejercicio de análisis de amenazas y riesgo. La inteligencia de amenaza se usa para obtener una imagen del paisaje actual y los métodos que usan los atacantes. A largo plazo, esta información se puede comprar como una fuente de inteligencia de amenazas que le proporciona análisis específicos para su sector industrial.

Sin embargo, esto requiere contar con personal que pueda comprender esta información, diseminarla en forma digerible a las personas adecuadas y actuar en consecuencia en términos de la estrategia general de ciberseguridad. Si este es el primer paso de su organización hacia un enfoque basado en amenazas para la ciberseguridad, entonces es poco probable que tenga estos recursos.

En su lugar, podemos utilizar la consultoría para reemplazar la inteligencia de amenazas, aprovechando el conocimiento del consultor para proporcionar la inteligencia y el análisis específicos de su sector. Este proceso debe ser colaborativo, trabajando junto a las personas clave en su negocio que tienen el mayor conocimiento sobre cómo opera, qué activos se poseen y su criticidad para el negocio.

El objetivo del proceso es establecer los activos clave, probables atacantes y sus motivaciones y capacidades, los controles que defienden estos activos y cómo podemos mitigar las vulnerabilidades que los afectan.

Activos clave

El primer paso es establecer cuáles serían los posibles objetivos de un ciberataque. Es probable que estos activos sean muy específicos para su organización, y es por eso que es importante que el proceso de análisis de amenazas y riesgos sea colaborativo. Los atacantes cibernéticos sofisticados no se infiltran en su red sin una intención específica, y esa intención generalmente es acceder a los datos que almacena que les interesan.

El valor de esta información es relativo a la motivación del atacante; por ejemplo, para un atacante de estado nación, la propiedad intelectual es un objetivo principal. Esto puede tener un valor limitado para un grupo de hacktivistas que apunta a su negocio porque su motivación es causar daño a su marca y reputación. Para ellos, un recurso clave podría ser el sistema de administración de contenido de su sitio web, que si se comprometiera les permitiría publicar su logotipo en su sitio orientado al cliente.

Una vez que se ha establecido una lista de activos clave, debemos determinar dónde están almacenados y quién tiene acceso a ellos. Es probable que los activos estén almacenados en muchos más lugares de lo que pensaría en un principio. La propiedad intelectual puede almacenarse en un servidor de archivos en la red principal de la organización, pero este servidor también se respaldará en otro servidor.

Si se accede a la información a través de una aplicación web, es posible que los usuarios hayan solicitado exportar estos datos que luego se almacenan en sus escritorios locales. Si la aplicación web está basada en la nube, esa propiedad intelectual se almacena en un centro de datos que no está bajo su control directo.

Habiendo mapeado la ubicación de los activos clave, ahora debemos establecer quién tiene acceso a ellos. Idealmente, queremos asegurarnos de que la cantidad mínima de personas tenga acceso a esta información. Esto se debe a que cuantas más personas tienen acceso, mayor es la superficie de ataque potencial, ya sea a través de un ataque interno (alguien con acceso legítimo a los datos los compromete) o debido a un atacante externo que compromete la cuenta de un usuario.

El número de personas que tienen acceso a los datos casi siempre es más de lo estrictamente necesario; por ejemplo, el personal de TI generalmente tiene cuentas de superusuario que les permiten acceder a todos los datos en la red.

Actores de amenazas

Los atacantes cibernéticos, o actores de amenazas, tienen distintas motivaciones y capacidades que impulsan los activos que buscarán comprometer y los métodos que utilizarán para lograr su objetivo. Los principales grupos de actores de amenazas son ciberdelincuentes, estados nación, hacktivistas y empleados maliciosos. Estos grupos se pueden expandir en subcategorías, y cada entidad distinta en estos grupos puede tener motivaciones y capacidades sutilmente diferentes.

También es probable que haya agentes de amenazas adicionales que sean específicos de su organización o sector, y estos pueden identificarse y analizarse durante el análisis de amenazas y riesgos. Luego, estos actores de amenazas se clasifican por orden de motivación, capacidad y probabilidad de que apunten a su organización, asignando a cada uno un valor para determinar su amenaza general para la organización.

Tomando como ejemplo a los delincuentes cibernéticos, están motivados principalmente por las ganancias y pueden ser altamente capaces, implementando malware personalizado para penetrar en su red. Los activos a los que apuntan serán cualquier información valiosa que pueda cifrarse, especialmente si también pueden encriptar las copias de seguridad.

Su principal método de entrega es el phishing por correo electrónico, utilizando técnicas de ingeniería social para engañar al personal y hacerle creer que el correo electrónico es una factura de proveedor legítima que debe pagarse, o un archivo adjunto que debe abrirse y que luego encripta la red con ransomware.

Una vez completado, el análisis nos proporcionará una lista de los actores de amenaza más probables que apuntarán a su organización y los métodos que emplean. Esto permitirá que la próxima etapa del análisis, que identifica controles y vulnerabilidades, se aborde con un enfoque en las amenazas más directas y viables.

Controles y vulnerabilidades

La resiliencia cibernética requiere que la organización tenga la capacidad de detectar y mitigar amenazas, pero también de poder monitorear y responder a ataques cibernéticos exitosos. El análisis de amenazas y riesgos ha establecido los activos vitales de la organización y una lista priorizada de los actores de amenaza, su motivación y capacidades.

El siguiente paso es determinar los controles que ya existen para prevenir, detectar y responder a estas amenazas. Esto implica hablar con TI y seguridad de la información. Al comparar estos controles con las capacidades y los métodos utilizados por los probables actores de amenaza, podemos identificar las vulnerabilidades que existen en ambos en los controles de procesos de la organización.

Continuando con el ejemplo del actor de amenazas cibercriminal, las vulnerabilidades probables en la capacidad de recuperación de la organización frente a este tipo de atacante incluyen la falta de capacitación de conciencia del personal, una debilidad en el proceso de copia de seguridad que significa que no se usa almacenamiento fuera del sitio, y permisos excesivos sobre los datos clave.

Acciones recomendadas

El resultado del ejercicio es una lista de recomendaciones sobre cómo la organización puede abordar las vulnerabilidades que se identificaron para que puedan estar mejor preparadas para los ataques que es más probable que enfrenten, utilizando la evaluación basada en amenazas de los diversos actores potenciales de amenaza.

Estas recomendaciones también deberían formar la base de un marco de seguridad cibernética específicamente adaptado a su organización, que pueda usarse para planificar la estrategia y el gasto de seguridad cibernética en los próximos años.

Conclusión

Un análisis de amenazas y riesgos proporciona a la organización la información que necesita para enfocar correctamente su estrategia y presupuesto de seguridad cibernética. Ninguna organización puede defenderse contra cada amenaza concebible y, por lo tanto, tiene sentido priorizar las amenazas por las más propensas a enfocarse en su negocio específico, y luego tomar decisiones informadas sobre cómo prevenir y detectar esas amenazas.

Este enfoque debe integrarse en una estrategia de resiliencia cibernética que no solo permita a la organización prevenir estas amenazas, sino que también responda de manera apropiada cuando se derroten las medidas de defensa.

Este artículo se actualizó por última vez en diciembre 2017

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close